» Восстановление Windows

Вопрос по штатному Восстановлению системы (XP SP3) - имеется ли какая-либо возможность исключить на отслеживаемых дисках определенные папки? В стандартных настройках можно отключить только слежение за целым диском:

Цитата:

Параметры восстановления: на каких дисках хранить RP, сколько места отводить

Задолбало, что на несистемном (у меня, сама OS и подавляющее большинство софта стоит на логическом разделе D: ) диске C: в System Volume Information хранится много ненужного давно удаленного /обновленного мусора, впустую занимающего место на небольшом винте. А совсем выключать Восстановление системы для диска C: (все-таки системный загрузчик-то на нем) неохота.

WatsonRus

Цитата:

Вопрос по штатному Восстановлению системы (XP SP3) - имеется ли какая-либо возможность исключить на отслеживаемых дисках определенные папки?

Угу. Открываешь файл \WINDOWS\system32\Restore\filelist.xml и правишь всё, что надо.

Никогда не использовал точку восстановления и поэтому у меня вопрос. Как я понял последняя точка восстановления у меня создана 25 июня, то есть если я её использую то все программы, фильмы, музыка что я за это время установил/скачал будут удалёны и комп станет в точности такими же, что был 25 июня и даже поврежденный реестр будет исправлен? И при этом программы и все файлы, что были закачены до 25 июня будут в целости и сохранности?

Всем Доброго времени суток!
Не знаю по теме я или нет, но у меня Бук был заражен вирусом win32:Sality.aa Сейчас вроде всё вылечено(Sality_off) Все работает за исключением самораспаковывающихся архивов видимо им здорово досталось но это не самое важное Проблема в том что перестали устанавливаться некоторые программы Вылетает сообщение:

Это лечиться?

HuNsTeR, лечится, нажимаешь Пуск -> Выполнить. В строке ввода команды печатаешь services.msc и нажимаешь Enter. Появляется список служб. В этом списке ищешь службу с названием Windows Installer и проверяешь ее параметры. Тип запуска должен стоять на 'вручную'. Если не удаётся поменять её параметры или такой службы нет, то пробуешь следующее: Пуск -> Выполнить -> "msiexec /unreg" -> Enter. Потом: Пуск -> Выполнить -> "msiexec /regserver" -> Enter. Если и после этого проблема остаётся, то чистишь остатки Windows Installer-а утилитой Windows Installer Clean Up и скачав Windows Installer для своей версии Windows c этой странички, ставишь его заново.

Цитата:

[/q]привет. помогите, при включении пишет NTLDR is missing Press ctrl+alt+del to restar ? если нажимаю это ничего не происходит. xp
[q]

Цитата:

привет. помогите, при включении пишет NTLDR is missing Press ctrl+alt+del to restar ? если нажимаю это ничего не происходит. xp

Так скопируй его с другого компа, я так делал не раз.

Или прога Partition Table Doctor

Egor008
За музыкой/фильмами SR не следит. Реестр и программы будут восстановлены в том виде, в каком они были в момент создания точки восстановления.

Neon2
http://forum.ru-board.com/topic.cgi?forum=62&topic=0364&start=80#lt

На компе похоже побывал зверь. Что-то я почистил, но осталась проблема
НЕ пускает на ряд сайтов, в частности антивирусные, микрософт - идет сообщение типа неправильно набран адрес. От браузера не зависит. От провайдера то же - прбовал из разных точек. файл host -нормальный. Где еще есть ограничения? и как от них избавиться?

gm61
какой антивир, посмотри настройки фаера (если говоришь host нормальный)

gm61
Проверь на kido, http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Подскажите как включить консоль восстановления. Проблема - Не удаётся запустить WINDOWS из-за испорченного или отсутствующего файла:\windows\system32\config\system. Можно попробовать восстановить этот файл, запустив программу установки Windows с оригинального установочного CD-ROM. Выберите "r" в первом диалоговом экране для запуска процедуры восстановления

При запуске с СД идет установка Windows и следом просит выбрать раздел или от форматировать. Когда R нажимать?

Hokkeist

Цитата:

При запуске с СД идет установка Windows и следом просит выбрать раздел или от форматировать. Когда R нажимать?

При появлении надписи «Вас приветствует мастер установки» нажмите клавишу R, чтобы запустить консоль восстановления.
Здесь есть детальное описание того, что нужно делать в таких ситуациях. Но это делать не обязательно, можно восстановить реестр из папки System Volume Information загрузившись с помощью LiveCD, если конечно же была включена функция "Восстановление системы". Нужные Вам файлы для восстановления через LiveCD находятся в C:\System Volume Information\ _restore{*}\RP*\Snapshot
*различные знаки.

Egor008
Спасибо за ответ. Но у меня нет надписи «Вас приветствует мастер установки». У меня начинается синий экран и надпись сверху "Установка Windows" а внизу побежали файлы, драйвера... Затем 2е окно -сверху надпись "Установка Windows XP Profesh..." внизу подождите пожл. Затем 3е окно - просит выбрать раздел или от форматировать. Где только r не нажимал ничего нет. Диск последний ЗВЕРЬ, мож изза него? А с LiveCD там что то всего на страничке напичкано, что конкретно качать не пойму. да и не дорос еще наверно этим пользоваться ума не хватит.Придется наверно переставить все.

Hokkeist

Цитата:

Egor008
Спасибо за ответ. Но у меня нет надписи «Вас приветствует мастер установки». У меня начинается синий экран и надпись сверху "Установка Windows" а внизу побежали файлы, драйвера... Затем 2е окно -сверху надпись "Установка Windows XP Profesh..." внизу подождите пожл. Затем 3е окно - просит выбрать раздел или от форматировать. Где только r не нажимал ничего нет. Диск последний ЗВЕРЬ, мож изза него?

Честно говоря, тут не знаю чем помочь.

Цитата:

А с LiveCD там что то всего на страничке напичкано, что конкретно качать не пойму. да и не дорос еще наверно этим пользоваться ума не хватит.Придется наверно переставить все.

Я качал Alkid's Live CD & USB, после этого заливал его на болванку через UltraISO и загружал этот образ через болванку перед этим пришлось выходить в БИОС для того чтоб убрать хард, это понадобилось, чтобы Alkid'ом можно было воспользоваться. После этого я заменил файлы ресстра из папки c:\windows\system32\config\ самыми свежими файлами реестра из \RP*\Snapshot и всё заработало как прежде. Но если функция “Восстановление системы" не была активна то и файлов реестра не будет, тогда переустановка системы остаётся самым верным выходом.
P.S. Да кстати если будите делать через Live CD, то не забудьте создать копии повреждённых файлов реестра, так на всякий случий…

Hokkeist

Цитата:

Диск последний ЗВЕРЬ, мож изза него?

Естественно. Пользуйтесь сборками и дальше. Из них вырезанны некоторые стандартные возможности, с точки зрения авторов - не нужные.

Снова вопрос по штатному "Восстановлению системы" - если я грохну сознательно удаленные ненужные exe и dll из одной из папок System Volume Information (которые попали туда именно потому что exe и dll), это как-то повлияет на работу этой конкретной точки восстановления (т.е. точка станет неработоспособной), или просто эти конкретные файлы не восстановятся при откате? Или нужно удалять всю папку этой точки воссмтановления?

Цитата:

Диск последний ЗВЕРЬ, мож изза него?

ох и вирей в нем я насчитал 7 шт.

Цитата:

На компе похоже побывал зверь. Что-то я почистил, но осталась проблема
НЕ пускает на ряд сайтов, в частности антивирусные, микрософт - идет сообщение типа неправильно набран адрес. От браузера не зависит. От провайдера то же - прбовал из разных точек. файл host -нормальный. Где еще есть ограничения? и как от них избавиться?

У меня такая же история. Этого зверя зовут Вирут, он очень опасен. Вот что он делает:

* Вирут внедряется в процесс WINLOGON.EXE и паразитирует внутри него
* Вирут устанавливает поддельный сертификат безопасности Microsoft Windows
* Вирут модифицирует файл HOSTS, посмотрите внимательно самую верхнюю строчку. У меня появились три лишние строчки:
127.0.0.1 jL.chura.pl
и снизу 2 строчки
92.241.176.188 advanced-virus-remover2009.com
92.241.176.188 www.advanced-virus-remover2009.com
При проверке выяснилось, что IP адрес 92.241.176.188 транслируется в доменное имя pechkin.wahome.ru
Об этом я сразу сообщил администрации wahome.ru, но мой запрос остался без ответа (прошло уже 2 недели).

* Вирут перехватывает все DNS запросы всех приложений и блокирует процесс определения IP адресов для любых доменов в названии которых присутствуют следующие строки:
eset
avg
microsoft
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
defender
rootkit
malware
spyware
virus

* Вирут хитрым образом обходит межсетевой экран и открывает себе лазейку в брандмауэре Windows Firewall, там есть одна уязвимость, которую Микрософт еще не устранил (если перед названием приложения поставить пару вопросительных знаков, и прописать эту строку напрямую в реестр, то в списке программ, которым разрешен выход в Интернет, эту программу не видно). Я обнаружил это сам.

* Вирут полностью зомбирует ваш компьютер, и он становится одним из послушных рабов всемирного Ботнета. Через каналы IRC на ваш компьютер загружают любой необходимый злоумышленникам софт и запускают программы без вашего ведома. Эти программы могут перехватывать все клавиатурные нажатия, пароли. Крадут данные ваших кредитных карт, пароли к платежным системам типа WebMoney, PayPal, Яндекс Деньги и т.п. Крадут пароли к вашим банковским счетам и снимают с них все деньги через веб порталы. Злоумышленники даже умеют заходить с вашего компьютера по протоколу HTTPS на подобные порталы, используя сохраненные в вашем обозревателе Internet Explorer, Firefox, Opera пароли! Только вы об этом ничего не подозреваете. Сейчас во всем мире уже зомбировано таки образом 10 миллионов компьютеров.

Центр управления Вирутом находится в Польше (sys.zief.pl, core.ircgalaxy.pl). Всемирным Ботнетом управляет группа хакеров из России и Украины, им активно помогают китайские коллеги из КНР.

* Вирут модифицирует системные файлы операционной системы Microsoft Windows
------------------------------------------------------------------

eamon.catp
eamon.inf
eamon.sys

Amon monitor
ESET Smart Security

----------------------------------------------------------------------

EL515.SYS
3Com Fast EtherLink ISA Adapter
3Com Fast Etherlink ISA Network Driver

-----------------------------------------------------------------------

winlogon.exe
Windows NT Logon Application

---------------------------------------------------------------------------

comctl32.dll
Common Controls Library

---------------------------------------------------------------------------

SFC.DLL
Windows File Protection

SFC_OS.DLL
Windows File Protection

-----------------------------------------------------------------------

USER32.DLL
Windows XP USER API Client DLL

-------------------------------------------------------------------------

SHLWAPI.DLL
Shell Light-weight Utility Library

--------------------------------------------------------------------------

WSOCK32.DLL
Windows Socket 32-Bit DLL

---------------------------------------------------------------------------

WININET.DLL
Internet Extensions for Win32

---------------------------------------------------------------------------

KERNEL32.DLL
Windows NT BASE API Client DLL

-------------------------------------------------------------------------------

PROTOCOL.INI

--------------------------------------------------------------------------------

* Вирут отключает защиту файлов в операционной системе Microsoft Windows
* Вирут умеет обманывать все основные антивирусные программы, стоит ему только хоть раз запуститься на вашем компьютере. Ни Доктор Веб, ни НОД32 при этом не обнаруживают Вирута и не видят его!

Это новое поколение супер-вирусов.

Остерегайтесь Вирута!

Лечить операционную систему после внедрения Вирута практически невозможно.

Сейчас уже все основные антивирусные программы как бы умеют лечить зараженные Вирутом файлы, но часто после подобного лечения программы перестают запускаться (особенно если они были упакованы каким-нибудь хитрым упаковщиком наподобие Аспака)

У мена на диске C: вирут заразил несколько тысяч файлов с расширением EXE и SCR.

Некоторые файлы вылечились нормально, а некоторые после лечения Доктором Вебом перестали запускаться.

Чтобы избавиться от Вирута не обязательно форматировть жесткий диск.

Но придется, вероятно, переустановить операционную систему в режиме восстановления.

Если это не поможет, придется переустановить Windows по полной программе в тот же самый каталог.

Сейчас я нахожусь в процессе восстановления. Для этого пришлось купить второй компьютер и подключить к нему хард диск от зараженного ноутбука.

Перепечатка данной статьи разрешена со ссылкой на автора: Александр Фирсов (гсм собака ру точка ру).

Спасибо за внимание.

Moderat

Цитата:

Ни Доктор Веб

Видит. Лечит, но:


Цитата:

Некоторые файлы вылечились нормально, а некоторые после лечения Доктором Вебом перестали запускаться.

Это редко.


Цитата:

ни НОД32

Этот антивирь встает в позу рака на зараженной машине.

У меня был Вирут, избавился без переустановки. У меня была особенность, эта зараза отрубила драйверы сетевой платы так, что они не могли загружаться. Инета не было. Второй комп + флэшка проблему решили.

Спасибо, информация очень полезна.
НО.
Пожаалуйста, помогите кто может
Как запустить     "Восстановление системы / System restore (WinXP и новее) " если сам Windows XP не загружается.
При загрузке появляется заставка виндоса, и где-то в конце её появления синенький экран IRQL_NOT_LESS_OR_EQUAL 0x0000000A (0x00000018, 0x00000002, 0x80512440) без каких либо отсылок к драйверам и файлам (точнее комп сразу перезагружается). Что за ошибка я даже не знаю. Появилась когда был удалён драйвер процессора на диспетчере устройств (и сразу была попытка поставить драйвер с диска Подробности здесь). И всё, Windows даже в безопасном режиме всё время нажимая ESC не грузится .
Очень важно оставить все установленные программы на месте. С Windows XP Home можно делать что угодно, главное чтобы программы оставались в рабочем состоянии (они лицензионные и без установочных).
Надеюсь сдесь найдутся умные люди. Я даже не знаю что делать . Система не грузится, а нужен доступ именно от самой системы чтобы запустить все эти контрольные точки и диспетчера устройств. Помогите!!!!

Добавлено:
WatsonRus
ini - кажется настройки к архивам.
exe - похоже сами архива.
Это аналогия с драйверов. Не знаю как на самом деле, но кажется так.

Добавлено:
WatsonRus
ini - кажется настройки к архивам.
exe - похоже сами архива.
Это аналогия с драйверов. Не знаю как на самом деле, но кажется так.

Добавлено:
Дополню к ....
Есть: Windows SP1 SP2 SP3, Windows XP SP3 LiveCD\USB, 5 (!) компов, 3 клавиатуры, 5 крыс, 4 монитора

Добавлено:
laotao
Приколнее всего было когда фирма НОда в своей юности всем пиратским номеркам начала вместо обновлений зверьков закачивать, а все фиксы были 100% убийцами нода как антивируса. Вот это была кора . С тех пор от НОДа подальше держусь .

Подскажите что делать.

Windows XP SP2 x86
Заражена всем чем можно по ходу дела. Антивирусника не стояло.
Установил Касперский, проверил автозагрузку, нашел он вирусы, перезагрузил систему сам, чтобы их удалить.

Теперь Windows загружается с пустым рабочим столом.
Правая кнопка мыши не действует.
Пуска и панелей - нет.
Диспетчер задач запрещен администратором.
Win-R - не запускается.
В безопасном режиме не загружается.
В режиме отладки - то же самое.
Загрузка последней удачной конфигурации - то же самое.
Загрузка с установочного диска XP SP2 - R - chkdsk /r - проверка - исправление, но результат - 0

Подскажите что делать, как в реестр залезть? Что дальше делать?

Нужно именно восстановить Windows.

ErikMAL
Уточните - нужно восстановить саму Windows или документы? ИМХО, систему уже бесполезно восстанавливать - даже если получится, глюков будет немеренно.

Цитата:

как в реестр залезть?

Загрузитесь с LiveCD - там обычно есть редактор реестра, который сможет его открыть.
Да и лечение от вирусов лучше было проводить из LiveCD.

Восстановить нужно Windows.
Там программки купленные, потом возни с ключами, чтобы вновь активировать - немеряно. Да и сама Windows - лицензионная.
на переустановку не согласны люди.
Есть где нибудь руководство, чтобы исправить такое?
Первый раз с таким сталкиваюсь.
Или напишите здесь пожалуйста, поподробнее.

ErikMAL
Кажется антивирусик переименовал (или даже удалил) папку с вашей учётной записью, или тупо записал свою .

Загрузитесь в безопасном режиме (F8 после загрузки драйверов биоса).

Какими-то средствами вам надо проникнуть в "Пуск->Диспетчер устройств->Администратирование->Управление компом->Управление учётными записями" ---- и посмотреть что там собственно твориться. Обычно их две если пользователь 1 (если конечно Windows не из говносборки) Администратора (под которой нужно НЕ работать а получать доступ к чему либо) и ваш пользователь(и) .... и больше ничего не должно быть. Так же посмотрите путь к папке с профилем пользователя, переименована она или её вообще нет.

Профиля обычно находятся здесь: "C:\Documents and Settings\"
Управление: "%SystemRoot%\system32\compmgmt.msc" /s

PS: Даже через тупой пустой экран можно выйти в проводник
PS2: Поиск по проводнику Windows - F2.

PS3: Может наконец-то найдутся умные люди которые помогут?

Veshor
Чего такое говоришь не пойму? не прочитал что ли, что я написал?

Я же говорю - планета шелезяка - ничего нет
Безопасный режим не грузиться
Диспетчер отключен администратором
При загрузке - пустой рабочий стол
Панели задач и пуска нет


Цитата:

PS: Даже через тупой пустой экран можно выйти в проводник

И как это сделать?

Как в реестр залезть подскажите поподробнее.

ErikMAL
Систему не восстановишь - не парься.
Единственное правильное решение - переустановка системы.
Если требуется восстановить информацию о программах и их ключах - требуется загрузка с альтернативного диска (СД, флешка, другой съемный диск).
На съемном диске должна быть реанимационная система (для запуска системы и восстановления информации с поврежденного носителя).
Ищи здесь на форуме СД реаниматор (или флеш реаниматор) и копайся при помощи их.
Для СД - Hiren_BootCD (под ДОСом с поддержкой NTFS, если оперативка до 512 МБ), Infr@ (под Windows PE, если оперативка больше 512 МБ) и т.д. (просто эти у меня под рукой всегда).
Для флешки - alkid live cd usb 2009.05.15 multiboot (образ загрузочного СД диска, есть две версии - standard и full) и т.д.

ErikMAL

Цитата:

Загрузка последней удачной конфигурации - то же самое

Служба восстановления работает? Вот это из п1 шапки пробовал? Берешь отсюда

Цитата:

Где хранится:

[HDD]:\System Volume Information\_restore{...}\RPхх (хх-последовательные номера точек восст-ия)

не последнюю а предпоследнюю или по вкусу точку восстановления и из rp копируешь весь реестр( sam security и тд) в system32\config - естественно под ливсд или еще каким диском, читающим нтфс. Если кроме реестра покоцаны и файлы - грузишься в безопасном режиме с ком строки и п3 шапки sfc /scannow либо переустановка винды поверх.
если нет точек восстановления - копируешь старый сист винт и реестр и вручную ишешь выгружаешь кусты установленных программ и копируешь хотя б программ файл ну или где у тебя они были - довольно геморно но вполне реально - до 80-90% прогм можно так восстановить.
Либо ишешь ливсв с редактором реестра удаленной машины либо просто в регедите грузишь кусты своего реестра и чистишь его от последствий виря - ну там ветки винлогона, userinit и тд автозагрузки
Все это сколько раз уж мусолилось лень чтоли перечитать этот тред.